Proposition de procédure pour créer une station de nettoyage antivirus.





0x01. SYSTÈME D’EXPLOITATION


On préfèrera un système d’exploitation sous GNU/Linux. Le plus minimal possible.





0x02. DURCISSEMENT


Le durcissement consistera à :
- rendre impossible tout exécution de programmes, sauf depuis : /bin, /usr/bin, /usr/sbin, /sbin et /opt - car la solution (script) sera installée dans /opt ;
- avoir un utilisateur n’ayant aucun droit (user= antivirus, group= antivirus) ;
- /tmp et /var/tmp doivent être monté en RAM





0x02. CHOIX DES ANTIVIRUS


Pour des raisons économiques, on utilisera des antivirus gratuits disponible sous GNU/Linux 64bits :
- Sophos
- ClamAV
- F-Prot
- Nod32
- Comodo (si station en 32bits)

Au fur et à mesure de l’installation de chacun, on désactivera la protection en temps réél, car plusieurs antivirus en même temps pourrait paralyser le système.
Le but est profiter des outils de scan et non d’une capacité en temps réelle.





0x03. MACHINE VIRTUELLE ?


Pour éviter la détection de la machine virtuelle par les malwares, le mieux est de dédier une machine physique, facile à remasteriser.





0x04. UTILISATION


Pour simplifier son utilisation, un script devra être écrit afin de scanner les supports externes.

files/cleaning_station/schema.jpg






0x06. RISQUES THÉORIQUES VS RISQUES RÉELS


Il existe une crainte fondée qu’un malware utilise ses techniques d’évasions et de propagation pour pourrir le réseau. Toutes fois, le malware doit pouvoir s’exécuter au moins une fois, et profiter des vulnérabilités pour mener ses actions à bien.
Dans un environnement où, il ne peut s’exécuter ce risque est moindre.

On pourrait également se dire qu’un malware pourrait provoquer une faille au sain même de l’antivirus, c’est un risque à prendre en compte : après le scan de chaque fichier il peut être intéressant de faire une intégrité du système, si celle-ci change, alors l’exécutable était une menace et est alors à supprimer.

Les solutions sans disques de stockage (disque dur, SSD) via PXE ou pire via CDROM sont plus pénibles à gérer qu’autre chose. En théorie une station qui a une unité de stockage a un risque d’héberger un malware ou un fichier sensible. Seulement en pratique, un malware ne s’exécute pas dès l’insertion de la clé, il ne peut pas non plus s’exécuter sur un système étranger sans intervention de l’utilisateur.




   =>   Écrit par : Nicolas, le 17 février 2020


 
Mots clés :  
  security 
  
  windows 
  
  system 
    >   Articles connexes :

Durcissement de Windows



Comment gagner du temps sur Internet



/tmp et /var/log en noexec sur macOS



5745446